ГлавнаяБаза уязвимостей БДУ → BDU:2020-04944
7.6высокая

BDU:2020-04944 (CVE-2020-14195)

Уязвимость компонента org.jsecurity библиотеки Jackson-databind проекта FasterXML, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-11-02
Описание

Уязвимость компонента org.jsecurity библиотеки Jackson-databind проекта FasterXML связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе

Затрагиваемое ПО и версии
Astra Linux Common Edition (2.12 «Орёл»)Debian GNU/Linux (8)Jboss Fuse (7)Oracle Agile PLM (9.3.6)Oracle Communications Evolved Communications Application Server (7.1)Jackson-databind (от 2.0.0 до 2.9.10.5)Red Hat Satellite (6.6 for RHEL 7)Red Hat Satellite (6.7 for RHEL 7)Oracle Big Data Spatial and Graph (до 3.0)Communications Diameter Signaling Router (от 8.0.0 до 8.2.2 включительно)Oracle Communications Element Manager (от 8.2.0 до 8.2.2 включительно)Oracle Communications Session Report Manager (от 8.2.0 до 8.2.2 включительно)Oracle Communications Session Route Manager (от 8.2.0 до 8.2.2 включительно)Oracle Banking Digital Experience (18.1)Oracle Banking Digital Experience (18.2)Oracle Banking Digital Experience (18.3)Oracle Banking Digital Experience (19.1)Oracle Banking Digital Experience (19.2)Oracle Banking Digital Experience (20.1)Communications Calendar Server (8.0.0.4.0)Oracle Communications Contacts Server (8.0.0.5.0)РЕД ОС (7.3)РОСА ХРОМ (12.4)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для jackson-databind:
https://github.com/FasterXML/jackson-databind/issues/2765
https://github.com/FasterXML/jackson-databind/commit/f6d9c664f6d481703138319f6a0f1fdbddb3a259

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2020/07/msg00001.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-14195

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.8.6-1+deb9u8 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jackson-databind до версии 2.8.6-1+deb9u10

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2629

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://github.com/FasterXML/jackson-databind/issues/2765https://github.com/FasterXML/jackson-databind/commit/f6d9c664f6d481703138319f6a0f1fdbddb3a259https://lists.debian.org/debian-lts-announce/2020/07/msg00001.htmlhttps://access.redhat.com/security/cve/cve-2020-14195https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023https://abf.rosa.ru/advisories/ROSA-SA-2025-2629
Проверьте безопасность своего сайта и почты → Полная проверка домена